日本マイクロソフトは2014年9月10日、Internet Explorer(IE)やWindowsなどに関するセキュリティ情報を4件公開した。これらには42件の脆弱性が含まれ、そのうち37件はIEに関するもの。37件の脆弱性のうち1件を悪用したゼロデイ攻撃が確認されている。対策はセキュリティ更新プログラム(パッチ)の適用。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのIE(IE 6/7/8/9/10/11)および全てのWindows(Windows Server 2003/Vista/Server 2008/7/Server 2008 R2/8/Server 2012/8.1/Server 2012 R2/RT/RT 8.1)、.NET Framework 1.1/2.0/3.0/3.5/3.5.1/4.0/4.5/4.5.1/4.5.2、Lync Server 2010/2013。
最大深刻度が「緊急」のセキュリティ情報は以下の1件。
(1)[MS14-052]Internet Explorer用の累積的なセキュリティ更新プログラム (2977629)
(1)はIEに関するセキュリティ情報。情報漏洩の恐れがある脆弱性1件、リモートからプログラムを実行される脆弱性が36件含まれる。このうち情報漏洩に関する脆弱性については、悪用した攻撃が既に出現しているという。いわゆるゼロデイ攻撃である。脆弱性を悪用すると、攻撃者はユーザーのローカルドライブに保存されているファイルを推測できるという。
最大深刻度が上から2番目の「重要」に設定されているのは以下の3件。これらを悪用されると、サーバーが提供しているサービスを停止されたり、一般ユーザーの権限を昇格されたりする恐れがある。
(2)[MS14-053].NET Frameworkの脆弱性により、サービス拒否が起こる (2990931)
(3)[MS14-054]Windowsタスクスケジューラの脆弱性により、特権が昇格される (2988948)
(4)[MS14-055]Microsoft Lync Serverの脆弱性により、サービス拒否が起こる (2990928)
いずれの脆弱性についても、対策はパッチを適用すること。Windowsの自動更新機能や「Microsoft Update」から適用できる。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。
日本マイクロソフトでは、(1)のパッチを、すぐに適用すべき「適用優先順位『1』」に設定している。パッチを検証してから適用している企業や組織では、まずは(1)のパッチを適用するよう勧めている。
また、9月10日からは、IEで古いバージョンのJava ActiveXコントロールを利用しようとすると、IEの通知バーに「Java(TM) は、最新のものではなく更新が必要なためブロックされました」といった警告が表示されるようになった(画面)。古いバージョンのJavaに存在する脆弱性を突く攻撃が相次いでいるためだ。
警告が表示された通知バーから「更新」を選択すれば、ユーザーはJava ActiveXコントロールを最新版に更新できる。「今回は実行」を選択すれば、更新せずに古いバージョンを使うことも可能だが、日本マイクロソフトでは、セキュリティの観点から、最新版に更新することを強く推奨している。
